K8S RBAC 命令行创建

最新推荐文章于 2024-08-14 11:50:32 发布
最新推荐文章于 2024-08-14 11:50:32 发布
阅读量543 收藏 8
点赞数 5
分类专栏: 容器 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39965541/article/details/138534791
版权

创建 role

创建名称为 “pod-reader” 的 Role 对象,允许用户对 Pods 执行 get、watch 和 list 操作:

kubectl create role pod-reader --verb=get --verb=list --verb=watch --resource=pods

创建名称为 “pod-reader” 的 Role 对象并指定 resourceNames:

kubectl create role pod-reader --verb=get --resource=pods --resource-name=readablepod --resource-name=anotherpod

创建名为 “foo” 的 Role 对象并指定 apiGroups:

kubectl create role foo --verb=get,list,watch --resource=replicasets.apps

创建名为 “foo” 的 Role 对象并指定子资源权限:

kubectl create role foo --verb=get,list,watch --resource=pods,pods/status

创建名为 “my-component-lease-holder” 的 Role 对象,使其具有对特定名称的资源执行 get/update 的权限:

kubectl create role my-component-lease-holder --verb=get,list,watch,update --resource=lease --resource-name=my-component

创建 clusterrole

创建名称为 “pod-reader” 的 ClusterRole 对象,允许用户对 Pods 对象执行 get、 watch 和 list 操作:

kubectl create clusterrole pod-reader --verb=get,list,watch --resource=pods

创建名为 “pod-reader” 的 ClusterRole 对象并指定 resourceNames:

kubectl create clusterrole pod-reader --verb=get --resource=pods --resource-name=readablepod --resource-name=anotherpod

创建名为 “foo” 的 ClusterRole 对象并指定 apiGroups:

kubectl create clusterrole foo --verb=get,list,watch --resource=replicasets.apps

创建名为 “foo” 的 ClusterRole 对象并指定子资源:

kubectl create clusterrole foo --verb=get,list,watch --resource=pods,pods/status

创建名为 “foo” 的 ClusterRole 对象并指定 nonResourceURL:

kubectl create clusterrole "foo" --verb=get --non-resource-url=/logs/*

创建名为 “monitoring” 的 ClusterRole 对象并指定 aggregationRule:

kubectl create clusterrole monitoring --aggregation-rule="rbac.example.com/aggregate-to-monitoring=true"

创建 rolebinding

在名字空间 “acme” 中,将名为 admin 的 ClusterRole 中的权限授予名称 “bob” 的用户:

kubectl create rolebinding bob-admin-binding --clusterrole=admin --user=bob --namespace=acme

在名字空间 “acme” 中,将名为 view 的 ClusterRole 中的权限授予名字空间 “acme” 中名为 myapp 的服务账户:

kubectl create rolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp --namespace=acme

在名字空间 “acme” 中,将名为 view 的 ClusterRole 对象中的权限授予名字空间 “myappnamespace” 中名称为 myapp 的服务账户:

kubectl create rolebinding myappnamespace-myapp-view-binding --clusterrole=view --serviceaccount=myappnamespace:myapp --namespace=acme

创建 clusterrolebinding

在整个集群范围,将名为 cluster-admin 的 ClusterRole 中定义的权限授予名为 “root” 用户:

kubectl create clusterrolebinding root-cluster-admin-binding --clusterrole=cluster-admin --user=root

在整个集群范围内,将名为 system:node-proxier 的 ClusterRole 的权限授予名为 “system:kube-proxy” 的用户:

kubectl create clusterrolebinding kube-proxy-binding --clusterrole=system:node-proxier --user=system:kube-proxy

在整个集群范围内,将名为 view 的 ClusterRole 中定义的权限授予 “acme” 名字空间中名为 “myapp” 的服务账户:

kubectl create clusterrolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp
文静小土豆
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
二十、K8S-1-权限管理RBAC详解
爱吃西红柿的博客
02-10 1841
RBAC API中,通过如下步骤进行授权在定义角色时会指定此角色对于资源的访问控制规则Role:角色,包含一组权限的规则,没有拒绝规则,只是附加运行,namespaces隔离,只作用于命名空间。授权特定命名空间的访问权限ClusterRole:和Role的区别,Role只作用于命名空间内,ClusterRole作用于整个集群,也就是所有Namespace。
k8sRBAC授权模式
weixin_37337210的博客
01-13 1054
导读 上一篇说了k8s的授权管理,这一篇就来详细看一下RBAC授权模式的使用 RBAC授权模式 基于角色的访问控制,启用此模式,需要在API Server的启动参数上添加如下配置,(k8s默然采用此授权模式)。 --authorization-mode=RBAC /etc/kubernetes/manifests/kube-apiserver.yaml (1)对集群中的资源及非资源权限均有完整的覆盖 (2)整个RBAC完全由几个API对象完成,同其他API对象一样,可以用kube.
Kubernetes详解(五十三)——Kubernetes Role创建和Rolebinding
永远是少年
05-10 2835
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes权限配置。 一、Kubernetes Role创建 二、Kubernetes Rolebinding 三、效果展示
【参考】RBAC模型基于角色-功能-资源的权限控制模型
04-22
.NET 权限管理模块设计参考 作者原话在项目开发中,往往需要涉及到权限模型的问题,现在比较流行的设计方案是RBAC3模型,为了使权限系统更加通用,减少开发人员在项目开发过程中的重复劳动,介绍一个比较通用的权限系统……
K8S创建role命令示例
学亮编程手记
11-11 1116
容器编排技术 -- Kubernetes kubectl create role 命令详解
YunWisdom
08-27 755
容器编排技术 -- Kubernetes kubectl create role 命令详解 1kubectl create role 2语法 3示例 4Flags kubectl create role 使用单一规则创建Role。 语法 $ role NAME --verb=verb --resource=resource.group/subresource [--r...
云原生k8s集群命令行工具kubectl基础操作命令实践详解
Lion_Long的博客
03-21 1765
Kubectl 是一个强大的命令行工具,用于管理 Kubernetes 集群。本指南提供了 Kubectl 基础命令的全面概述,涵盖了从创建和管理 Pod 到部署和维护服务的所有内容。
k8s(RBAC)用户管理
weixin_41650708的博客
10-26 204
Kubernetes中所有的访问,无论外部内部,都会通过API Server处理,访问Kubernetes资源前需要经过认证与授权。在k8s中,service account(简称sa)是给集群中的进程使用的,当集群中的pod或进程需要跟apiserver申请调用资源时会使用到sa前面说的service account在k8s集群中是给pod使用的,这里介绍的User Account,是给我们自己,也就是给客户端用的。
云原生k8s集群命令行工具kubectl之应用部署命令详解
Lion_Long的博客
03-22 3396
由于deployment的滚动更新机制,如果在部署过程中使用了pause,将会导致一个部署中的pod版本不一致暂停 Deployment,然后再触发一个或多个更新,最后再继续(resume)该 Deployment。原因:如果单独配置pod,当集群升级时需要将当前节点上的所有pod排空,那么会产生问题,因为pod没有任何副本控制器在控制它,集群对他没有预期,当节点排空后,pod将不会被调度和重生。基于文件或标准输入,将新的配置已替换的方式应用到资源上。
K8S创建用户账号User Account并赋予权限
06-12
KubernetesK8S)集群管理中,为了实现安全的多租户环境和权限控制,需要为不同的用户和团队创建独立的账号,并授予适当的访问权限。本篇将详细介绍如何在K8S创建用户账号(User Account)以及如何为其赋予权限...
k8s-utils
02-13
5. **安全与权限**:在安全方面,k8s-utils可能会包含工具来检查和审计集群的安全配置,确保遵循最佳实践,如RBAC(Role-Based Access Control)策略的验证。 6. **版本控制与部署**:k8s-utils可能还提供与Git集成...
k8s dashboard v2.7.0离线镜像包
10-15
1. **资源管理**:用户可以通过 Dashboard 创建、编辑、查看和删除各种 Kubernetes 资源,如 Deployment、Service、Pod、ConfigMap 和 Secret 等。 2. **监控与日志**:Dashboard 可以展示 Pod 的状态、资源使用...
k8s入门介绍,k8s多master多noede安装部署教程
07-28
* kubectl:管理k8s命令行工具,可以操作k8s中的资源对象,如增删改查等。 * etcd:是一个高可用的键值数据库,存储k8s资源状态信息和网络信息的,etcd中的数据变更是通过api server进行的。 * apiserver:提供...
k8s-1.15.1-搭建和操作
06-28
Kubernetes(简称K8s)是Google开源的容器集群管理系统,它提供了一种声明式的方法来管理应用程序的部署、扩展和运维。在这个“k8s-1.15.1-搭建和操作”的主题中,我们将深入探讨如何安装Kubernetes 1.15.1版本以及...
k8s RBAC权限控制
2401_86274572的博客
08-04 977
使用k8s RBAC权限控制
Rocky系统部署k8s1.28.2单节点集群(Containerd)+Kuboard
Lzcsfg的博客
08-13 850
kubernetesk8s)是2014年由Google公司基于Go语言编写的一款开源的容器集群编排系统,用于自动化容器的部署、扩缩容和管理;kubernetesk8s)是基于Google内部的Borg系统的特征开发的一个版本,集成了Borg系统大部分优势;官方地址:Kubernetes代码托管平台:https://github.com/Kubernetes k8s集群需要建⽴在多个节点上,将多个节点组建成一个集群,然后进⾏统⼀管理,但是在k8s集群内部,这些节点⼜被划分成了两类⻆⾊:
k8s学习笔记
最新发布
wwwvipp的博客
08-14 264
StartupProbe探针的作用。
kubernetesk8s对外服务之Ingress
qq_54188720的博客
08-13 1062
K8S集群外部的客户端访问K8S集群内部的方案基于Service实现:NodePort、LoadBalancer、externalIPs 只能支持四层代理转发,如果K8S集群规模较大运行的业务服务较多,NodePort端口/externalIPs管理成本会很高基于Ingress实现:支持七层代理转发,可自定义规则根据用户请求的域名或URL路径转发给指定的Service端点实现Pod的代理访问一般来说,ingress-controller的形式都是一个pod,里面跑着daemon程序和反向代理程序。dae
k8s怎么创建管理员用户
09-20
### 回答1: 在 Kubernetes 集群中创建管理员用户的方法有多种,其中一种是通过 kubeadm 工具来创建。使用 kubeadm 创建的用户默认拥有 cluster-admin 权限。 1. 创建管理员用户的证书和私钥: ``` openssl genpkey -out admin-key.pem -aes256 -algorithm rsa -pkeyopt rsa_keygen_bits:4096 openssl req -new -key admin-key.pem -out admin.csr -subj "/CN=k8s-admin/O=system:masters" openssl x509 -req -in admin.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out admin.crt -days 365 ``` 2. 创建 kubeconfig 文件: ``` kubectl config set-cluster k8s-cluster --server=https://<k8s-apiserver-ip>:6443 --certificate-authority=/etc/kubernetes/pki/ca.crt kubectl config set-credentials k8s-admin --client-certificate=admin.crt --client-key=admin-key.pem kubectl config set-context k8s-admin-context --cluster=k8s-cluster --user=k8s-admin kubectl config use-context k8s-admin-context ``` 3. 给管理员用户赋予 cluster-admin 权限: ``` kubectl create clusterrolebinding k8s-admin-binding --clusterrole=cluster-admin --user=k8s-admin ``` 注意:上述操作中的 k8s-apiserver-ip 请替换为您集群中的实际 IP 地址。 ### 回答2: 在KubernetesK8s)中创建管理员用户的过程包括以下几个步骤: 1. 创建一个管理员用户的凭据:可以使用openssl生成一个管理员用户的证书和私钥文件。这可以通过运行以下命令来完成: ``` openssl genrsa -out admin.key 2048 ``` ``` openssl req -new -key admin.key -out admin.csr -subj "/CN=admin/O=system:masters" ``` ``` openssl x509 -req -in admin.csr -CA /path/to/ca.crt -CAkey /path/to/ca.key -CAcreateserial -out admin.crt -days 365 ``` 2. 创建管理员用户的配置文件:使用kubectl创建一个配置文件,该文件包含管理员用户的凭据和集群的信息。可以运行以下命令: ``` kubectl config set-credentials admin --client-certificate=admin.crt --client-key=admin.key ``` ``` kubectl config set-context admin-context --cluster=<cluster-name> --user=admin ``` ``` kubectl config use-context admin-context ``` 3. 授权管理员用户:将创建的管理员用户赋予集群的管理员权限,使其可以执行特权操作。可以通过创建一个ClusterRoleBinding来实现授权,运行以下命令: ``` kubectl create clusterrolebinding admin-binding --clusterrole=cluster-admin --user=admin ``` 通过完成以上步骤,管理员用户将被成功创建并授权。可以使用管理员用户的凭据来执行Kubernetes集群的管理操作,例如创建、删除和调整资源,以及执行其他需要特权的操作。 ### 回答3: 在Kubernetes创建管理员用户可以通过以下步骤实现: 1. 生成管理员用户的证书和秘钥。首先,创建一个包含管理员用户信息的策略文件(policy file),例如`admin-policy.yml`。其中包含了该管理员具有的权限,如创建、修改和删除资源的权限等。然后使用该策略文件生成管理员用户的证书和秘钥。 2. 创建管理员用户的参数配置文件(kubeconfig)。该文件指定了管理员用户需要连接的Kubernetes集群的相关信息,如API服务器的地址、证书文件的位置等。可以使用`kubectl`命令行工具来生成配置文件,例如执行以下命令: ``` $ kubectl config set-cluster my-cluster --server=https://api-server:6443 --certificate-authority=/path/to/cert.crt $ kubectl config set-credentials admin --certificate-authority=/path/to/cert.crt --client-key=/path/to/key.key --client-certificate=/path/to/cert.crt $ kubectl config set-context my-cluster --cluster=my-cluster --user=admin ``` 3. 配置管理员用户的RBAC角色和角色绑定。在Kubernetes中使用RBAC(Role-Based Access Control)来管理用户的权限。可以创建一个RBAC角色,定义管理员用户具有的权限,并将该角色绑定到管理员用户帐号上。 4. 配置API服务器的访问控制。在Kubernetes的API服务器配置文件中,将管理员用户的证书和秘钥配置为可信证书,从而允许该用户进行管理员操作。 5. 将管理员用户的kubeconfig文件与管理员用户共享,并配置相应的环境变量。通过将管理员用户的kubeconfig文件发送给管理员,管理员可以使用该文件来连接Kubernetes集群并执行相应的管理操作。 通过以上步骤,您就可以成功地在Kubernetes创建管理员用户,并赋予该用户相应的权限,使其能够有效地管理Kubernetes集群。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值